Tra le community più esperte in materia di sicurezza (tra cui in particolare security.stackexchange) c'è una discussione in corso sulla forza delle diverse policy sulle password. Gli esempi includono Tr0ub4d0r&3 vs correct horse battery staple , schema Bruce Schneiers , la schema della BBC , tra gli altri.
Questi diversi approcci sono stati tutti esaminati in modo approfondito, fino ai calcoli a livello di entropia, alla facilità con cui certe password devono essere ricordate, ecc. - e penso che tutti possiamo essere d'accordo sulle qualità di cui hanno bisogno le password.
Inoltre, conosciamo tutti le storie di password , love , 123456 , querty e tutte le altre frasi inutili a cui talvolta si affida la media di Joe e che appaiono ogni volta che viene raccolta una grande serie di password trapelato da qualche parte.
Ma ci sono stati casi noti in cui le persone hanno investito qualche pensiero / sforzo nella raccolta di password che, a ben vedere, si sono dimostrate troppo deboli? A volte capisco che se un'organizzazione / persona è a conoscenza del problema della password e ha persino una conoscenza di base dei principi di sicurezza, sono già al 99,9% sicuri su questo fronte.
Per riformulare la domanda:
Quante volte il livello di sicurezza della password è stato un vero problema di sicurezza in un contesto professionale ?
Con "contesto professionale" intendo esplicitamente un contesto in cui alcuni è stata presa una decisione consapevole per scegliere password decenti.
E.g. somebody picked a non-trivial password (maybe
Tr0ub4d0r&3-style), and it was actually cracked and exploited in a context where a different scheme would have proven more resilient (and where the reason for the incident was not some other failing part of the security chain).